华为ENSP实验之防火墙基础配置与安全地区配置(保姆级教程)
1.1实验拓扑本次实验使用华为USG6000V防火墙和Cloud以及AR2220路由器、互换机、客户机、PC机来搭建起网络安全拓扑图:
https://i-blog.csdnimg.cn/direct/32620c203f964bd4a9c9f90982a9e84d.png
1.2 设备 IPv4 地址规划表:
序号
设备名称
接口
IPv4 地址/掩码
1
FW
GE0/0/0
192.168.0.1/24
GE1/0/0
10.10.122.1/24
GE1/0/1
192.168.122.254/24
GE1/0/2
192.168.172.254/24
2
AR1
GE0/0/0
10.10.122.254/24
GE0/0/1
100.1.122.1/
1.3 KM-TEST 环回适配器的安装:
(1)首先,我们必要在本身电脑上安装一个虚拟网卡,按win+R键然后输入 hdwwiz后回车添加新的硬件,点击搜刮并自动安装硬件进入下一步安装。
https://i-blog.csdnimg.cn/direct/e9bf11526d104400af52dadac30834e0.png
(2)完成上一步后开始选择安装设备驱动点击Microsoft厂商的Microsoft KM-TEST 环回适配器后点击安装这时就安装乐成了可以在电脑中查察。
https://i-blog.csdnimg.cn/direct/c82715709cdb4af89514b068cb17a039.png
1.4 完成网页访问eNSP防火墙的功能:
(1)双击 USG6000V 进入配置界面,输入账户 admin,初始密码:Admin@123 举行登陆,登录后必要对密码举行修改,完成后输入 sys 进入配置模式,输入命令dis ip int br查察防火墙端口配置详情。
https://i-blog.csdnimg.cn/direct/2ae78b902ed942d288a65a4400cd7bd8.png
(2)进入G0/0/0接口,输入 service-manage all permit 命令开启端口上的全部权限(也可以开启一个服务的端口)
https://i-blog.csdnimg.cn/direct/c3af40a484f8412e9914b238a6ca61ba.png
(3)接着在刚刚创建好的KM-TEST环回适配器中配置如下的IP地址并且保证与防火墙端口上的 IP 地址再同一网段下
https://i-blog.csdnimg.cn/direct/3415ee4d946f4342afa44057f31c10df.png
(4)在华为模拟器中将防火墙连接到一个云设备中举行如下的桥接配置:
https://i-blog.csdnimg.cn/direct/98ee834f8715408784957c197632d9cc.png
(5)在完成以上步骤的基础上,在浏览器中输入防火墙 IP 地址会登录到防火墙的web界面输入修改后的用户名和密码就可以正常进入
https://i-blog.csdnimg.cn/direct/95c9b48e8046486ab85251ac7f5f5573.png
2.实验基础配置:
(1)首先,配置客户机和服务器的IP地址和子网掩码以及网关地址的配置
https://i-blog.csdnimg.cn/direct/22398776630640278714a4edceb5d39f.png
https://i-blog.csdnimg.cn/direct/8d5735d7843f4428aab3a14b7e23c9b9.png (2)进入防火墙并配置各接口的地址和答应PING测的权限:
https://i-blog.csdnimg.cn/direct/2c0df1d9505846cd9021bd9425b82797.png
(3)根据实验的要求办公区的PC1需自动获取IP地址(DHCP服务配置)在配置完成后退出接口视图下输入dhcp enable命令
https://i-blog.csdnimg.cn/direct/f37131c9918f4196bc32ea50cf83cd28.png
(4)完成以上利用后将防火墙接口到场安全地区
https://i-blog.csdnimg.cn/direct/15d4aeff60554486ab7af962d5374841.png
(5)配置防火墙的缺省路由和配置路由器的接口地址以及缺省路由
https://i-blog.csdnimg.cn/direct/8ff47f4feb0f4f53837bfa9d9dd20036.png
3.安全战略配置:
(1)配置TRUST地区的办公区可以访问外网UNTRUST的Cilent1的战略;
https://i-blog.csdnimg.cn/direct/c3a16baecb634248b3263fc8ae6a58b0.png
(2)第二条规则是TRUST地区的客户机可以访问DMZ地区的服务器server,而PC1不能访问服务器server;
https://i-blog.csdnimg.cn/direct/d94b9026cdce4636b3ad762861c003cd.png
(3)第三条规则是外网CLIENT可以访问DMZ地区的服务器server;
https://i-blog.csdnimg.cn/direct/a54c415f273246d1a6b910d4faf84119.png
(4)DMZ地区的服务器server只能18:00至06:00访问外网举行升级;
https://i-blog.csdnimg.cn/direct/deba271aa5384c119aef1ee1df3ba162.png
https://i-blog.csdnimg.cn/direct/bce701c6a414440992b7a3e4ad024396.png
注:将时间段设置后但是该规则还没有起作用是由于防火墙系统的时间段和所设置的时间段相悖举行改防火墙系统时间后就会起到作用
https://i-blog.csdnimg.cn/direct/a1cf7e7944a640b095cf0a93fd9d3c33.png
4.实验数据及结果分析:
(1)根据实验要求PC1只能通过DHCP来获取地址现在,上述配置完DHCP后在PC1中的命令行上输入ipconfig来举行地址获取;
https://i-blog.csdnimg.cn/direct/631d8b2e966945d08a6d64b87eb23988.png
(2)根据实验第一条战略是让trust地区的办公区可以访问外网Untrust这也就表示PC1和客户机都可以去访问外网当上述配置完该战略后在PC1和客户机上分别PING外网的客户及来举行测验;
https://i-blog.csdnimg.cn/direct/dd65b78b0166418294e2fc72e859d827.png
(3)根据第二条规则是只让trust地区的客户机访问dmz地区的服务器其他不能举行访问在配置完成后可以在trust地区的客户机和PC机上举行PING测时会发现客户机可以和服务器正常通信而PC机不能由于PC机受规则限制;
https://i-blog.csdnimg.cn/direct/e124b157a9fb46e2bbb4a003dba20455.png
(4)第三条规则是使用外网客户机可以访问DMZ地区的服务器server我们可以用外网的客户机来访问DMZ地区的FTP服务器来举行测验;
https://i-blog.csdnimg.cn/direct/87e80a38dc954618b8e0eed36598b1cc.png
(5)第四条规则是DMZ地区的服务器只能在规定的时间去访问外网,可以使用服务器在规定的时间内去PING测客户机可以乐成的举行通信;
https://i-blog.csdnimg.cn/direct/18e0f48fc9f743aca222e51210230b65.png
(6)最后在用web来登录防火墙在战略里查可以清楚的查察到所配置的战略可以更好地让命令和web配置来作对比来加深明白;
https://i-blog.csdnimg.cn/direct/14f1b75847d546db9b06437bd029e195.png
注:必要源命令和详细内容请点赞加关注后私信或评论得源命令拓扑。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]